企业资源规划与电脑稽核.ppt

第7章　企業資源規劃與電腦稽核 學習目標 1. 為什麼需要電腦稽核？ 2. 電腦稽核與傳統的稽核有什麼不同？ 3. 哪些因素會威脅的系統安全？ 4. 電腦稽核在ERP中扮演什麼角色？ 5. 稽核人員在資訊化後必須有什麼樣的轉變？ 電腦稽核的目標 電腦稽核的對象 電腦稽核的範圍 電腦稽核的程序 內部控制 保障企業資產的安全。 確保會計記錄與資訊的正確性及可靠性。 提昇企業營運的效率。 評估企業政策及程序的遵行程度。 內部控制的組成要素 電腦稽核的發展四個階段 電腦稽核方式 繞過電腦稽核(Auditing Around The Computer) 繞過電腦稽核是將輸入資訊系統的資料和最後系統輸出結果查核與比對看看是否有異常現象。 不管電腦的處理方式，或僅就電腦周圍的人、事、物及制度作查核。 僅採用繞過電腦的稽核方式，無法將稽核工作做好。 繞過電腦稽核流程圖 穿透電腦稽核(Auditing Through The Computer) 穿透電腦稽核流程圖 利用電腦稽核(Auditing With The Computer) 　　　核人員使用電腦軟硬體以　　　及稽核軟體作輔助查核的工具，執行控制測試與證實測試，以提高稽核效率。 電腦稽核的時機 電腦稽核對傳統稽核的影響 稽核軌跡的改變。 內部控制結構的改變。 資料儲存方式的改變。 藉由專家作稽核工作 。 稽核規劃的差異。 利用電腦執行稽核任務。 稽核套裝軟體 ACL (Audit Command Language) FOCAUDIT IDEA (Interactive Data Extraction Analysis) Applaud ACL稽核軟體的功能 稽核軟體必須要能夠讀入寫出(import-export)各種不同形式資料 欄位加總測試 例外分析功能 定義新欄位 檔案與檔案之間的相互稽核 統計抽樣方法 列印報表 稽核指令批次檔 資訊系統安全 　　　指運用可施於電腦資源（電腦　　　硬體、軟體，和資料）上的技術性防護方法和管理程序，使得組織擁有的資產，甚至涉及個人隱私的資料都能夠收到保護。 資訊系統的風險 建立資訊系統安全控管制度的五個步驟 電腦化對企業的衝擊 電腦人員對於稽核與內部控制的了解不足 責任集中於電腦中 資料的塗改不留實體痕跡 資料太過集中容易被竊 電子性的資料容易遺失 電腦系統可能處於不安全的環境 無法看見稽核軌跡 ERP 環境中的風險 輸入資料有誤(Incorrect Entry of Data) 資料集中(Concentration of Data) 無法核驗處理過程(Inability to Substantiate Processing) 責任集中 (Concentration of Responsibility) ERP的脆弱點 內部控制的目的 　　　保企業活動都經授權、　　　適時、準確、完整、正當、評估、分類、報告、安全、完整、可用、可控制且可稽核、可維護性、可用性、效率。 企業中的一般控制包括 一般控制 作業控制 資料管理控制 系統維護控制 確認授權 原始程式館控制 確保完整測試 確實更新相關文件 上線控制 電子商務控制 應用控制 輸入控制 一般的輸入控制方法 處理控制 一般的處理控制方法 輸出控制 典型的請款系統可能採用的應用控制 典型的請款系統可能採用的應用控制 (續) 儲存媒體的處理(Storage Media Handling) 程式錯誤(Program Errors) 作業系統的瑕疵(Operating System Flaws) 續 下 頁 通訊系統的損壞(Communications System Failure) 意外的故障(Accidental Failures) 故意的行為(Intentional Acts) 確 作業控制 資料管理控制 系統維護控制 電子商務控制 是電腦化資訊系統都必須具備的控制項目。 涉及電腦化環境及所有電腦化作業，因此這些控制的影響層面較為廣泛，而不單單與特一電腦化作業有關。 對日常電腦作業的控制，可以分成 分離不相容工作 電腦中心控制 作業系統安全控制 個人電腦的控制 主要是針對資訊系統中的資料安全的控制措施，可分成： 使用控制 備份控制 集中在確保系統修改的品質，可分成 大致上可分成 安全需求控制 不法使用者控制 系統正常運作控制 針對個別應用系統所設計的控制活動 。 需做到輸入控制、處理控制、以及輸出控制三個部分。 　　　的在確保輸入資料的品　　　質，大致上可從原始文件控制、資料登錄控制、批次控制、核驗控制、和輸入錯誤矯正等五方面著手。 目 檢查碼 (Check Di